Helse- og personvernlovgivningen kommer kun til bruk når det er tale om personopplysninger, og gjelder ikke etter at opplysningene er anonymisert. Dette innebærer at dataansvarlig institusjon – etter anonymiseringen – ikke lenger er bundet av helse- og personvernlovgivningen, og derfor ikke må vurdere behandlingens lovlighet, eller om behandlingen er i tråd med de øvrige prinsippene i personvernforordningen. Videre vil f. eks ikke helsepersonellovens regler om taushetsplikt gjelde for anonyme opplysninger.
Det er imidlertid viktig å merke seg at behandlingen frem til opplysningene er å anse som anonyme må skje i tråd med formålet og behandlingsgrunnlaget opplysningene opprinnelig ble samlet inn for, slik det for eksempel er beskrevet i et informasjon- og samtykkeskriv, eller vedtak om dispensasjon fra taushetsplikten i et forskningsprosjekt.
Selve anonymiseringsprosessen er derfor å regne som behandling av personopplysninger. Dette betyr at dataansvarlig må tydelig definere hva som er formålet med anonymiseringen og vurdere om det foreligger et behandlingsgrunnlag etter personvernforordningen. Les mer om behandlingsgrunnlag i Faktaark 56 – Formål og behandlingsgrunnlag og kapittel 2.5 om prosjekttype og behandlingsgrunnlag i denne veilederen.
Videre må ikke anonymisering forveksles med det å pseudonymisere opplysninger. Til forskjell fra anonyme opplysninger, er pseudonymiserte opplysninger en behandling av personopplysninger. Pseudonyme personopplysningene kan kun knyttes til en bestemt registrert gjennom bruk av tilleggsopplysninger, som er lagret atskilt og er omfattet av tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til den registrerte (Personvernforordningen art. 4 nr. 5).
Det mest praktiske eksempelet på pseudonyme opplysninger er personopplysninger der alle direkte og indirekte identifiserbare kjennetegn er fjernet, og de gjenstående opplysningene kun kan knyttes til den registrerte ved hjelp av en unik kode og kodenøkkel. Med andre ord kan den registrerte re-identifiseres selv om opplysningene er pseudonymisert.
Anonymisering og de vanligste risikoene
Vurderingen av hva som er anonyme opplysninger kan være en krevende øvelse. I personvernforordningens fortale står det at personopplysninger regnes som anonymiserte når de håndteres eller bearbeides slik at de ikke lenger kan knyttes til en identifisert eller identifiserbar fysisk person (Personvernforordningens fortalepunkt 26).
Anonymisering skal være en irreversibel prosess slik at det ikke er mulig å re-identifisere den registrerte. Les mer om dette i Datatilsynets veileder «Anonymisering av personopplysningene» (2015), side 6 (datatilsynet.no).
For å finne ut om opplysninger kan anonymiseres, må dataansvarlig først vurdere om de aktuelle opplysningene kan knyttes til den registrerte, og om det er sannsynlig at den registrerte kan re-identifiseres. Det bør tas hensyn til alle midler som det med rimelighet kan tenkes at dataansvarlig eller andre kan ta i bruk for å identifisere den registrerte direkte eller indirekte.
For å fastslå om midler med rimelighet kan tenkes å bli tatt i bruk for å identifisere den fysiske personen bør det tas hensyn til alle objektive faktorer, f.eks. kostnadene og tiden som er nødvendig for å foreta identifikasjonen, idet det tas hensyn til teknologien som er tilgjengelig på tidspunktet opplysningene skal behandles, samt den teknologiske utviklingen, se personvernforordningens fortalepunkt 26.
Selv om personvernforordningens fortale gir en viss veiledning, er det ingen standard metode for hvordan helse- og personopplysninger kan anonymiseres. Det blir derfor opp til dataansvarlig institusjon å vurdere hva som skal til for at opplysninger skal anses som anonyme. Blant annet må det tas hensyn til antall opplysninger, hvilke opplysninger det er tale om og hvilke opplysninger som kan være tilgjengelig for offentligheten eller andre aktører.
Datatilsynet trekker frem tre sentrale risikoer som kan oppstå ved anonymisering av helse- og personopplysninger, og som bør brukes i vurderingen av hvor godt dataansvarlig har sikret seg mot re-identifisering. .
- Er det mulig å skille ut en enkeltperson i datasettet etter at anonymiseringen er gjennomført?
- Er det mulig å koble flere datasett sammen og til den samme personen?
- Er det mulig å utlede informasjon som kan knyttes til en enkeltperson fra datasettet?
Er svaret ja på ett eller flere spørsmål, behandler prosjektet personopplysninger. Er svaret nei på samtlige spørsmål, er opplysningene i prosjektet trolig anonyme. I en vurdering av om en anonymiseringsprosess er tilfredsstillende, bør dataansvarlig vurdere risikoen for re-identifisering av opplysningene, både før og etter at anonymiseringen er gjennomført.
Videre er det viktig å være oppmerksom på at omstendighetene rundt opplysningene kan endre seg i tråd med den teknologiske utviklingen og at nye tilleggsopplysninger blir tilgjengelig. Prosjektet bør derfor ha gode rutiner for å evaluere risiko knyttet til faren for re-identifisering.
Dersom det ikke ble gjort en grundig nok vurdering av om opplysningene kan anonymiseres, og det ikke er mulig å anonymisere, foreligger en risiko for at det rettslige grunnlaget for behandlingen av personopplysninger i prosjektet, ikke dekker at opplysningene lagres videre. Dette kan medføre at prosjektet må få på plass nytt behandlingsgrunnlag.
Det kan også være nødvendig med tiltak som å gi de registrerte ny informasjon, eventuelt å innhente nytt samtykke fra de registrerte. En konsekvens kan også være at opplysningene må slettes.
Som prosjektleder bør du rådføre deg med institusjonen din hvis du er usikker på om dataene du skal bruke i prosjektet er anonyme, eller hvilke tiltak du skal gjøre for å anonymisere dem etterpå.